После входа в интегрированное веб-приложение пользовательские данные (id, token et c.) Сохраняются в локальных переменных. Они могут быть изменены кем угодно. Например: если я использую auth2.isSignedIn.get(), это просто функция поиска в локальной переменной, которую можно свободно изменять в консоли, как и любую переменную. Если вы выполните auth2.isSignedIn.ie=true в консоли, то auth2.isSignedIn.get() вернет true.
Если у хакера есть пользователи id_token, они могут имитировать, что пользователь вошел в систему (измените локальные переменные в соответствии с который). Любой процесс, проверяющий действительность id_token, будет «одурачен», пока токен не истек.
Перед деликатным процессом я могу сделать еще одну проверку, если пользователь все еще вошел в Google напрямую (без использования локального входа, связанного с переменные). Или что-то подобное, что не может быть взломано? Как я могу это сделать?